Il responsabile DPO ovvero la figura dedicata alla protezione dei dati che svolge ruolo attivo nella consulenza tecnica, procedurale, amministrativa e informatica dei dati e degli asset sensibili aziendali. Il Data Protection Officer (DPO) definito come il Responsabile della protezione dei dati segue quanto emanato dal regolamento Europeo Privacy (GDPR 2016/679) che ha introdotto, con vari livelli di dettaglio la mansione e i compiti del Data Protection Officer (DPO). Si tratta quindi di una figura professionale altamente specializzata, le cui caratteristiche e specializzazioni sono individuati dagli artt. 37-39 del GDPR.
Chi è il Data Protection Officer
Il DPO – in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR che ha la funzione di affiancare il titolare del trattamento dei dati e i responsabili aziendali affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo. Il DPO è un consulente tecnico, con competenze normative, informatiche, di risk management e di analisi dei processi.
La figura richiede inoltre lo sviluppo di competenze eclettiche nell’ambito informatico e la conoscenza operativa delle principali funzionalità che caratterizzano gli strumenti IT e la tecnologia presente all’interno del priprio ambiente di lavoro.
I compiti del DPO
Numerosi sono i compiti richiesti al responsabile della protezione dei dati. L’elenco riportato definisce una linea guida generale che deve essere formalizzata a seconda della specifica realtà di riferimento. Il DPO deve possedere una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39:
- Informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali
- Sorvegliare e verificare l’applicazione delle norme
- Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment, PIA)
- Cooperare e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento
- Gestire la formazione interna del personale in materia di sicurezza e gestione dei dati
- Sorvegliare e gestire gli adempimenti su obblihi e normativa Privacy
- Attivare una consulenza che comprenda la formulazione di pareri e consigli
- Sviluppare un realte punto di contatto e di collaborazione con tutti gl interessati al trattamento
- Gestire il contatto con l’Autorità Garante
- Definire i nuovi contenuti relativi all’aggiornamento dell’informativa sul trattamento dei dati personali
- Controllare le nuove modalità di richiesta del consenso al trattamento dei dati personali
- Controllare eventiuali casi di esclusione dall’obbligo
- Gestire ed implementara nuove misure di sicurezza tecniche ed organizzative da adottare all’interno della propria realtà professionale
- Notificare al Garante ogni caso di violazione dolosa o casuale dei di dati
- Segnalare ogni tentativo di phishing al Garante della Privacy
- Valutare le modalità relative all’impatto di tutti i trattamenti gestiti
- Mantenere la redazione del registro dei trattamenti per il Titolare e il Responsabile.
Come funziona il servizio del responsabile DPO
L’attività può essere gestita internamente o supportata da un’azienda specializzata esterna, ovvero da un consulente dedicato in area DPO. Nel caso di affidamento esterno, totale o parziale, l’idea di fondo è definire un progetto normativo ed operativo con l’obiettivo di affiancare la figura interna designata dall’azienda al fine di sviluppare un progetto lineare, concreto ed efficiente che risponda ai criteri normativi e che preveda la crescita dello sviluppo delle competenze e dell’autonomia proprio dell’incaricato DPO interno.
L’attività gestita da Nexsys, azienda competente alla mansione di consulente DPO e alla erogazione di servizi DPO, prevede la gestione di tre fasi operative di seguito descritte:
– attività di formazione dedicata iniziale
– consulenza avvio dell’attività tecnica,
– monitoraggio/affiancamento on the job annuale.
L’attività viene erogata in fasi progettuali che partono dalla gestione di una formazione dedicata iniziale definita per il responsabile DPO attraverso la gestione di attività di formazione tecnica specifica su normative, mansioni, ruoli e compiti del DPO.
L’output che ne deriva è rappresentato da una formazione generale, analisi delle competenze, attestato formativo.
Successivamente attraverso la fase di consulenza di avvio operativo dell’attività tecnica, è previsto un affiancamento e supporto nella progettazione del sistema di gestione dei dati, nell’analisi delle aree operative, nello sviluppo delle competenze specifiche, nella definizione del documento di valutazione, nell’analisi dei rischi informatici, nella redazione del piano di lavoro, nella creazione della modulistica e attività connesse alla figura del DPO.
L’Output che ne deriva è rappresentato da un documento tecnico di avvio con definizione di aree, dalla definizione della modulistica, dallo sviluppo delle competenze, dalla definizione delle mansioni, dei controlli periodici e delle best practices.
L’attività continua con verifiche periodiche (annuali) definite come monitoraggio e affiancamento on-the job.Obiettivo è la verifica degli adempimenti, il supporto operativo, la predisposizione di eventuali audit, le analisi delle modifiche emerse, l’aggiornamento della modulistica, la verifica adempimenti e delle procedure connesse alla figura del DPO.
L’attività si prefigge di mantenere il supporto al responsabile DPO per favorirne autonomia, stabilità e indipendenza operativa. L’Output che ne deriva: attestazione di intervento, consulenza ad-hoc, aggiornamento modulistica, monitoring attività.
Il DPO nella pubblica amministrazione
L’art. 37 qualifica come obbligatoria la designazione del DPO all’interno della pubblica amministrazione. Autorità ed enti pubblici devono quindi provvedere all’assunzione di un soggetto, interno od esterno, tenuto ad adempiere alle funzioni e ai compiti affidategli in maniera indipendente ed autonoma. È importante sottolineare che nella Pubblica Amministrazione quando si parla di DPO si intende in realtà un team di professionisti specializzati in diversi ambiti e che insieme assolvono tutti i compiti richiesti al DPO. Per maggiori informazioni contatta il nostro reparto DPO.
Il DPO per le amministrazioni Comunali
Anche Comuni ed Enti locali sono tenuti, dal 25 maggio 2018, a conformarsi alle regole del Regolamento Europeo n.679/2016. Si intuisce quindi la necessità di dotarsi di persone competenti nella gestione privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. La figura del DPO all’interno di un Comune può essere individuata tra il personale dipendente in organico, oppure è possibile procedere a un affidamento all’esterno, in base a un contratto di servizi. Per affidare l’incarico ad un consulente esterno che ti permetta di lavorare in Team e gestire ruolo e adempimenti normativi, contatta il nostro reparto DPO.
E’ importante specificare che nei Comuni di piccole dimensioni i Responsabili della Protezione dei Dati possono essere condivisi. Dal Regolamento art. 37, comma 3 si deduce infatti: “Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”.
Il DPO nelle aziende Sanitarie
La nomina del responsabile della protezione dei dati all’interno del settore sanitario risulta obbligatoria sia per le aziende sanitarie appartenenti al SNN che per il settore sanitario privato, come ospedali privati, case di cura, residenze sanitarie assistenziali – RSA.
Al DPO delle aziende sanitarie vengono affidati compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy. Tra quest’ultima spicca il trattamento dei dati personali degli utenti in modo lecito, corretto, trasparente e sicuro.
Appare interessante specificare che non sono tenuti alla designazione del DPO quei soggetti che non effettuano trattamenti di dati personali su larga scala, quali le farmacie, le parafarmacie, le aziende ortopediche e sanitarie e il singolo professionista che opera in regime di libera professione a titolo individuale. Scopri la proposta DPO e la formazione più adatta per il settore sanitario, chiedi informazioni al nostro reparto DPO.
Il DPO all’interno della Scuola
Il discorso riguardante la figura del DPO all’interno degli istituti scolastici è molto delicato, in quanto questi trattano numerose informazioni su larga scala riguardanti studenti, soprattutto minorenni, famiglie e le rispettive situazioni sociali. Come viene affermato dal Miur, la scuola ha l’importante compito di assicurare un elevato livello di protezione di queste informazioni.
E’ per questo motivo che, a partire dal 25 maggio 2018, il DPO rappresenta una figura fondamentale, la quale ha come scopo principale quello di “responsabilizzare” l’amministrazione della scuola, facendo sì che il responsabile del trattamento dati adotti delle politiche adeguate al fine di garantire (e dimostrare) che il trattamento dei dati è conforme al GDPR.
La figura del Responsabile della Protezione dei Dati può essere individuata sia all’interno della scuola (un dipendente) che all’esterno. Nel primo caso, tale figura non deve coincidere con chi definisce le politiche di protezione dei dati nella scuola.
Inoltre, è importante ricordare che una non corretta comunicazione che contenga dati sensibili su un minore, un riferimento inopportuno al suo rendimento scolastico, la pubblicazione di foto e filmati sul sito web della scuola, potrebbero costituire una violazione delle norme sulla privacy e della riservatezza dei dati, con conseguenti sanzioni per i Dirigenti scolastici.
Vuoi maggiori informazioni sulla corretta gestione della Privacy, della sicurezza informatica e della figura del DPO? Contattaci subito per tutti i dettagli.
Il DPO nelle Università
Dati gli sviluppi tecnologici degli ultimi decenni, il mondo dell’istruzione deve pensare sempre più in modo “privacy oriented”. Di conseguenza, in coerenza con gli adempimenti previsti dal Regolamento europeo in materia di protezione dei dati personali (Regolamento UE/679/2016), anche le Università sono tenute ad assumere una figura con il ruolo del DPO.
Riportiamo il caso di una nota università del nord-est. Come è possibile apprendere presso il sito dell’Università degli Studi di Verona, i compiti affidati al DPO sono quelli di:
– informare e fornire consulenza all’Ateneo sugli obblighi derivanti dal GDPR e dalle altre disposizioni europee e nazionali, relative alla protezione dei dati
– sorvegliare l’osservanza, da parte dell’Ateneo, del GDPR e delle altre disposizioni relative alla protezione dei dati
– fornire pareri in merito alla valutazione dei rischi di violazione dei dati personali e sorvegliarne lo svolgimento
– Cooperare e fungere da punto di contatto con il Garante per la protezione dei dati personali
– fungere da punto di contatto con gli interessati per tutte le questioni relative al trattamento dei loro dati personali e all’esercito dei loro diritti
Numerosissimi sono i dati che deve trattare il Data Protection Officer all’interno di un’Università. Tra i tanti, possiamo menzionare:
- dati relativi al personale
- dati relativi a studenti e alle rispettive attività, quali test d’ingresso, immatricolazione, tirocinio, job placement, tutorato
- dati relativi alla didattica e alla ricerca
- dati relativi alle attività gestionali, quali gestione degli spazi, delle postazioni, delle cariche istituzionali, dei servizi bibliotecari, dei servizi di posta elettronica
E’ ben comprensibile, quindi, che le Università mettano in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al probabile rischio per i diritti e le libertà delle persone fisiche derivante dal trattamento dei dati personali.
Pe ulteriori informazioni, si rinvia alle disposizioni del Regolamento (UE) 2016/679 e del D. Lgs. 196/2013 Codice per la protezione dei dati personali.
Il DPO per le aziende Partecipate
Fondamentale per questo tipo di società che l’attività DPO venga affidata ad un esperto interno che collabori in maniera attiva con la società di consulenza esterna. Questo per garantire continuità, velocità di intervento ed efficienza. La figura interna deve essere nominata tenendo conto delle disposizioni emanate dal Regolamento (UE) 2016/679 e D. Lgs. 196/2013 Codice per la protezione dei dati personali. Occorre considerare nella nomina del DPO:
Livello di esperienza:commisurato alla sensibilità ed alla complessità del trattamento e alla quantità di dati personali e sensibili trattati
Qualità professionale: esperienza nell’ambito GDPR e dei requisiti informatici e normativi previsti a livello nazionale. Fondamentale la conoscenza delle attività operative e procedurali del settore nel quale opera.
Gestire il compito: abilità nel garantire la totale conformità al GDPR, di gestire una efficace divulgazione della cultura della tutela del dato all’interno dell’ente, una missione generale volta a indirizzare le funzioni interessate e le figure coinvolte nella gestione dei principi della tutela del dato e dei diritti degli interessati.
Privacy by design e by default: conoscere e gestire le misure di sicurezza tecniche necessarie a garantire l’integrità dell’infrastruttura informatica e la sicurezza informatica generale del sistema.Per questo diviene necessario affidarsi ad un consulente esterno esperto nella cybersecurity e nella continuità informatica. Scegliere quindi la consulenza di una azienda informatica diviene la chiave per l’efficienza operativa
Il correttivo (d.lgs. 16.6.2017, n. 100) al testo unico le società partecipate consolida la sensibilizzazione alla tematica che per le società a partecipazione pubblica diviene necessario assicurare i criteri di univocità e certezza della disciplina, La natura privata delle società definite comunque a partecipazione pubblica, ne determina i limiti e ne attribusce le condizioni operative nell’utilizzo degli strumenti informatici sulla sicurezza e la gestione dei dati.
Il DPO per le Municipalizzate
Le aziende municipalizzate, oggi deniminate anche con il nome di aziende speciali, sono enti che operano all’interno della pubblica amministrazione, privi di personalità giuridica autonoma e introdotti con la legge 103/1903 al fine di perfezionare il processo di affidamento ai Comuni della gestione dei principali servizi di pubblica utilità.
Sono tenute, nei casi previsti agli articoli 37-39 del Regolamento, a designare la figura del Responsabile della protezione dei dati, individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.
In questo contesto la prassi consiglia di indicare una figura dirigenziale interna che in relazione con una società esterna di consulenza informatica, attivi e gestisca in maniera formale e strutturato, il ruolo del responsabile della protezione dei dati.
Il DPO le aziende private
Per il settore privato la nomina di un DPO, non si configura sempre come obbligatoria, ma certamente fortemente raccomandata dal Garante. È importante però che questa figura abbia un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Il ruolo di Responsabile dei Dati Personali all’interno di un’azienda privata può essere svolto da un dipendente, che conosce la realtà nella quale si opera, o da un soggetto esterno. Il Garante della privacy spiega che “il responsabile della protezione dei dati scelto all’interno dell’azienda dovrà essere nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi.”
In base alla struttura e alla dimensione/complessità interna, è possibile definire le migliori modalità di avvicinamento coerente e costante alla tematica DPO. Contattaci per gestire la tua formazione interna e lo sviluppo del tuo progetto sulla sicurezza informatica e sul servizio di protezione dei dati.
Certificazioni per il ruolo del DPO: responsabile della protezione dei dati
Al momento non sono previste formali certificazioni richieste dalla normativa. Fondamentale è gestire un precesso formativo che permetta di certificare lo sviluppo delle proprie competenze e la definizione dei un progetto continuo e puntuale.
Programma del corso DPO
ll programma di questo corso verrà definito e personalizzato in base alle effettive necessità, verificabili attraverso le caratteristiche di gestione, protezione e sicurezza dei dati della specifica realtà aziendale pubblica o privata.
MODULO 1: LA FIGURA DEL DPO
La figura del Responsabile della Protezione dei Dati
Come designare il DPO
Come definire l’attività principale
Analisi della realtà di riferimento
Obblighi derivanti dal regolamento
MODULO 2: OBBLIGHI E ADEMPIMENTI DPO
Disposizioni relative alla protezione dei dati
Adempimenti lato tecnico informatico sui sistemi IT
Adempimenti e procedure normative legali
Consulenza e informazione al trattamento
Sorveglianza del rispetto del regolamento
Le politiche interne di protezione dei dati personali
MODULO 3: AUDIT, SORVEGLIANZA E MODELLI DPO
Audit di verifica periodici
Elaborazione di relazioni DPO
Modelli adottati e comportamenti n0n conformi
Formazione e sensibilizzazione del personale interno
Attività connesse al controllo
Sorveglianza e valutazione d’impatto
Cooperazione e consultazione preventiva
Garante Privacy e l’autorità di controllo
Formazione specifica in materia di privacy
Il corso di formazione DPO rappresenta un valido strumento per poter approfondire gli argomenti trattati nel corso generale sul GDPR e conoscere gli elementi di base per la definizione dei compiti e delle responsabilità del Titolare del Trattamento. Attraverso il corso di formazione DPO potrai, infatti, sviluppare tutte quelle competenze utili alla gestione ottimale del ruolo del Data Protection Officer.
Normativa aggiornata DPO
La figura del Data Protection Officer ha assunto una particolare rilevanza alla luce dell’approvazione del Regolamento Europeo sulla protezione dei dati che uniforma la legislazione Privacy nei 27 stati membri UE. Il nuovo Regolamento Europeo n.679/2016 (o GDPR – General Data Protection Regulation) ha riformulato la normativa riguardante la protezione dei dati personali, imponendo dal 25 maggio 2018, ad enti pubblici e ad aziende private, l’inserimento di questa fondamentale figura professionale. L’introduzione di tale figura, oltre ai casi citati dall’art. 37 in cui questa è obbligatoria, è fortemente raccomandata dal Garante per la Protezione dei Dati al fine di tutelare qualsiasi rischio in materia di privacy.
Nexsys, azienda informatica di Verona, mira ad offrire corsi di formazione innovativi e completi. Grazie all’attenta formazione che ti verrà fornita e grazie alla disponibilità dei nostri docenti, potrai, al termine del corso, avere una consulenza on-demand dedicata e di specifico supporto nella fase iniziale e nella gestione annuale dell’attività DPO. In caso di dubbi o chiarimenti, non esitare a contattarci qui o ad iscriverti alla nostra newsletter.
Il nostro programma di intervento per l’implementazione del progetto compliance su tutte le fasi e le procedure previste dal Regolamento Europeo, prevede un check up volto all’analisi approfondita della realtà di riferimento e del piano di azione, in seguito alla relazione prodotta viene formulato un piano di azione condiviso che pone alla base dell’attività l’obiettivo di rendere autonomo l’ente. Ti supportiamo nell’adeguamento e nella verifica aspetti normativo-legali, nella valutazione delle principali misure di sicurezza informatica, nella gestione tecnico-organizzativa. Completiamo la documentazione dalla normativa attraverso:
- La redazione del registro dei trattamenti
- La valutazione di impatto
Il servizio di consulenza DPO ti segue per l’adeguamento sicurezza informatica: potrai gestire le fasi del trattamento attraverso una continua analisi, verifica e supporto. Siamo a disposizione per consulenza per trattamenti particolari di dati personali in tema di video-sorveglianza, e per tutte le attività che si riferiscono al web, al web marketing.
Il progetto mira alla fondamentale gestione delle attività di formazione rivolta a tutti gli utenti coinvolti nel trattamento dei dati. Collabora con gli esperti Nexsys per la tua:
- Assistenza dedicata negli adempimenti sulla Privacy
- Consulenza sulla normativa e sugli adempimenti
- La gestione degli Interventi tecnici e trattamento dei dati
- La sicurezza informatica
- Formazione del personale
Per tutte le informazioni chiama e richiedi informazioni compilando il form qui.